\section{Resultados}

\subsection{Red 1: Casera}

Analizando las IPs solicitadas en los paquetes ARP, se obtuvo el siguiente mapa de la red casera: \\

\begin{center}
\includegraphics[scale=0.4]{graficos/red_gonza_casa.jpg}
\end{center}

Se pueden observar seis nodos dentro de la red privada \texttt{192.168.1.x}, un nodo con IP publica \texttt{10.137.215.143} y un nodo con \texttt{0.0.0.0}. \\

Sabiendo que \texttt{192.168.1.1} es el router que conecta a todos los nodos, tiene sentido que todos los nodos envien mensajes \texttt{who-has} a esa dirección: necesitan saber la MAC del router para enviar paquetes, que luego serán forwardeados hacia otros nodos (dentro o fuera de la red).\\

El router a su vez pregunta por los nodos de la red, esto puede ser para saber si el nodo sigue teniendo la misma dirección MAC o si se flusheó la entrada de la tabla ARP del router y tiene que averiguar la MAC de vuelta. También puede ocurrir que el router nunca recibió un ARP de esa dirección, pero tiene que mandarle algún paquete por primera vez. \\

En el caso del nodo \texttt{192.168.1.107} el cual no envía ARP al router puede deberse que no necesita enviar mensajes a traves de la red, o probablemente es un nodo caído o un nodo al que se le asignó otra IP. El router intenta preguntar sobre esta IP de todas formas. \\

Si una máquina quiere comunicarse directamente con otro (para compartir archivos por ejemplo), también tiene que conocer su MAC. Este es el caso de los nodos \texttt{192.168.1.101} y \texttt{192.168.1.102}. \\

La IP \texttt{10.137.215.143} es la IP pública asignada por el ISP a la red el día que se realizó la medición. Cuando analizemos la red siguiente, quedará más claro porque esto es así.

Por último queda el caso del nodo \texttt{0.0.0.0} pero no tuvimos éxito en averiguar cual es la causa de ese mensaje. Asumimos que alguna aplicación debe estar enviando ese mensaje como control, pero no podemos asegurarlo. \\

Dijimos anteriormente que sabemos que el router es el nodo \texttt{192.168.1.1}, pero podríamos no conocer ésta información. Pero conociendo ARP que circularon por la red, se puede deducir. La siguiente tabla muestra la cantidad de veces que un nodo fue el destino de un paquete ARP:

\large
\begin{center}
\begin{tabular}{ | l | l | }
  \hline
	192.168.1.1 & 283 \\ \hline
	192.168.1.100 & 7 \\ \hline
	192.168.1.101 & 13 \\ \hline
	192.168.1.102 & 17 \\ \hline
	192.168.1.107 & 1 \\ \hline
\end{tabular}
\end{center}
\normalsize 

Se puede observar que el nodo \texttt{192.168.1.1} aparece más veces que cualquier otro nodo, con lo cual podemos concluir que es el router.\\


\subsection{Red 2: Casera}

En este caso presentamos otra red casera:

\begin{center}
\includegraphics[scale=0.3]{graficos/red_nico_1.jpg}
\end{center}

Es similar al caso anterior, salvo que hay dos nodos con IP publica y otra vez aparece el caso del nodo \texttt{0.0.0.0}. En este caso, el único dato nuevo que podemos aportar para la dirección \texttt{0.0.0.0} es que el nodo destino pertenece a un celular. Probablemente tenga que ver con el comportamiento propio del celular o alguna app. \\

El router se vuelve a destacar en el grafo, esto se corresponde con las ocurrencias como destino de un paquete ARP como se puede ver en este gráfico: \\

\begin{center}
\includegraphics[scale=0.5]{graficos/histograma_red_2.jpg}
\end{center}

Este gráfico está ordenado por orden creciente de cantidad de información. La información de un símbolo, en una fuente dada, es la probabilidad de que la fuente produzca ese símbolo y está dada por: \\

\begin{center}
\includegraphics[scale=0.5]{graficos/information.png}
\end{center}

Para poder calcular esto, necesitamos las probabilidades de cada símbolo de la fuente. En nuestro caso son las siguientes: \\

\large
\begin{center}
\begin{tabular}{ | l | l | l | }
  \hline
  	IP solicitada & ${p(x_i)}$ & ${I(x_i)}$ \\ \hline
  	192.168.0.1 & 0.33944 & 1,0804 \\ \hline
	192.168.0.11 & 0.16513 & 1,801 \\ \hline
	192.168.0.18 & 0.15596 & 1,8581 \\ \hline
	192.168.0.29 & 0.10091 & 2,2935 \\ \hline
	192.168.0.28 & 0.073394 & 2,6119 \\ \hline
	186.19.20.1 & 0.04587 & 3,0819 \\ \hline
	192.168.0.12 & 0.04587 & 3,0819 \\ \hline
	192.168.0.14 & 0.04587 & 3,0819 \\ \hline
	192.168.0.2 & 0.02752 & 3,5927 \\ \hline

\end{tabular}
\end{center}
\normalsize 

Podemos ver como a medida de que un símbolo es más probable dentro de la fuente, la información que aporta es menor. Esto se corresponde con nuestro gráfico anterior, el router es el nodo con más ocurrencias y aparece primero. Podemos conjeturar que cualquier nodo con poca cantidad de información es un nodo destacado de la red. Por ejemplo los dos nodos que le siguen, \texttt{192.168.0.11} y  \texttt{192.168.0.18}, eran máquinas que estaban siendo muy usadas en el lapso en el cual se tomó la medición. Por otro lado el nodo \texttt{192.168.0.2}, el que aportó más información, era un nodo inexistente en ese momento. Posiblemente otro nodo intentó preguntar por esta IP sin éxito. \\ 


Medimos la variación de entropía de la red a lo largo del tiempo, lo cual nos da una idea del ``nivel de información'' de ésta. La entropía cumple ser la media poderada de la información proporcionada por cada símbolo de la fuente.


\begin{center}
\includegraphics[scale=0.6]{graficos/entropia_arp1_nico.jpg}
\end{center}

Nos planteamos analizar las IPs que corresponden a nodos distinguidos de la red (e.g. el router). Lo que hicimos fue medir la cantidad de información
de la IP del router con respecto a la entropía de la fuente de información a lo largo del tiempo.  Buscamos el instante en el
cual la cantidad de información del router pasa a estar por debajo de la ``media'' (i.e. entropía). En ese punto estamos diciendo que la probabilidad
de que este símbolo aparezca es más frecuente que la media, y por lo tanto se trata de un nodo distinguido.

\begin{center}
\includegraphics[scale=0.6]{graficos/entropia_y_cantidad_de_informacion_arp1_nico.jpg}
\end{center}

Vemos que es un poco antes de los 3000 segundos el momento en que la cantidad de información de la IP correspondiente al router baja velozmente. Si nos fijamos detenidamente en el pcap correspondiente, encontramos que justamente en los primeros 2700 segundos hay únicamente 23 mensajes ARP, y a partir de ese momento se dispara la cantidad de pedidos, quizás obedeciendo a un mayor uso de la red.

Por último, queda ver el caso de las IPs públicas \texttt{186.19.20.1} y \texttt{186.19.21.246}. El grafo muestra pedidos de \texttt{186.19.21.246} hacia \texttt{186.19.20.1} y sospechamos que la primera es nuestra IP pública y la segunda la IP del router controlando la subred del ISP en esa zona. Teniendo esto en cuenta pudimos observar que es cierto entrando a la configuración del router local: \\

\begin{center}
\includegraphics[scale=0.7]{graficos/ip.png}
\end{center}

Lo que está sucediendo es que el router, usando su dirección de red pública, intenta encontrar la MAC del gateway del ISP. Entonces envia un mensaje ARP who-has preguntando por \texttt{186.19.20.1}. Podemos ver desde la red local este mensaje, ya que el router está enviandolo por todas sus interfaces. \\


\subsection{Red 3: Oficina}

La red de oficina se trata de una red grande, con más de 35 nodos. Mostrar información de toda la red es dificil, así que tomaremos los nodos más destacados para ello. Este es el histograma de la red completa: \\

\begin{center}
\includegraphics[scale=0.6]{graficos/red_oficina.png}
\end{center}


Si tenemos en cuenta algunos de los nodos más destacados de la red, obtenemos: \\

\begin{center}
\includegraphics[scale=0.5]{graficos/red_oficina_histo.png}
\end{center}

La oficina pareciera tener varios nodos destacados, sean router, switchs o otros dispositivos con alto tráfico. Podemos armar un grafo tomando sólo los nodos que tienen como destino alguno de los cinco nodos más destacados \\

\begin{center}
\includegraphics[scale=0.2]{graficos/grafo_oficina.png}
\end{center}

Hay que tener en cuenta que tomamos un subconjunto chico de todo el tráfico de la red, realizar un grafo completo es inpracticable. Los nodos \texttt{192.100.100.1}, \texttt{192.100.100.88} y \texttt{192.100.100.139} recibieron pedidos ARP de muchos nodos distintos, podemos asumir que son routers. \\

Los nodos \texttt{192.100.100.24} y \texttt{192.100.100.63} siguen un patrón que no esperabamos, reciben muchos pedidos who-has desde unos pocos nodos. Revisando más detenidamente la captura de tráfico del Wireshark, observamos que estos nodos nunca respondieron con un ARP reply. Es posible que estos dos nodos hayan cambiado de IP en algún momento y los otros nodos solicitantes tienen configuradas esas IP estáticamente para alguna aplicación. Entonces se envian miles de pedidos who-has por un par de IP que no están más asignadas. \\


Teniendo esto en cuenta, filtramos la captura dejando solo los ARP dirigidos a algún nodo vivo (un nodo que respondio con ARP reply o que fue el source de un ARP who-has). El histograma de la red ahora queda de la siguiente forma: \\

\begin{center}
\includegraphics[scale=0.7]{graficos/ofi2.png}
\end{center}

El gráfico queda más consiso, más parecido a los correspondientes a las redes caseras. sin nodos extremadamente solicitados. Haciendo foco sobre los nodos destacados: \\

\begin{center}
\includegraphics[scale=0.45]{graficos/ofi2_2.png}
\end{center}

Los nodos que asumimos anteriormente como routers siguen existiendo despues del filtro y además se nota una diferencia en el trafico recibido por los primeros dos respecto al resto. Puede querer decir que los primeros dos sean los routers principales, mientras los otros nodos destacados otros dispositivos importantes dentro de la red como switchs o firewalls. \\


\begin{center}
\includegraphics[scale=0.3]{graficos/grafo2.png}
\end{center}

En cuanto al grafo de los cinco nodos mas destacados, podemos ver como todos ellos reciben pedidos ARP de varias IPs reforzando la idea de que son nodos que routean tráfico.

También medimos la variación de entropía de la red de oficina a lo largo del tiempo.
\begin{center}
    \includegraphics[scale=0.5]{graficos/entropia_ofi2.jpg}
\end{center}
En este caso se ve que la entropía tiende a estabilizarse a medida que pasa el tiempo. Entendemos que esto viene dado porque, luego de un momento de ``descubrimiento'' de la red, los símbolos del alfabeto comienzan a aparecer de forma regular y mantienen su frecuencia relativa a lo largo del tiempo.

Planteamos el mismo experimento para identificar a nodos distinguidos en este caso también.
\begin{center}
    \includegraphics[scale=0.5]{graficos/entropia_e_informacion_ofi2.jpg}
\end{center}

Un zoom del caso anterior, para buscar el momento en que salta a la vista el evento descripto anteriormente. En ese caso, quizás por se una red con más tráfico, es notable lo rápido que se identifica al nodo.
\begin{center}
    \includegraphics[scale=0.5]{graficos/entropia_e_informacion_ofi2_focalizada.jpg}
\end{center}

